Algemene Verordening Gegevensbescherming (AVG), op 25 mei 2018 gaat de verordening in…ben u er al klaar voor? Advocaat Boer helpt u op weg.
Vanaf 25 mei 2018 gelden er strengere regels op het gebied van privacy. We hebben er 24 maanden de tijd voor gehad maar uit onze praktijk blijkt dat nog niet iedereen zich er van bewust is dat de AVG er ook echt aan komt. Daarnaast blijven er nog veel onduidelijkheden en vragen bestaan over de AVG. Is uw organisatie/bedrijf inmiddels er klaar voor? In de onderstaande stappen staan de belangrijkste punten van de AVG op een rij. De AVG geldt voor de gehele Europese Unie en heeft gevolgen voor iedere organisatie die persoonsgegevens verwerkt.
Stap 1 Bewustwording en inventarisatie
Wees u er van bewust dat de AVG zeer binnenkort wordt ingevoerd en breng de verwerkingen in kaart. We hebben nog een aantal dagen en dan gaat de verordening in. Natuurlijk ging u al zorgvuldig om met de persoonsgegevens die u beheert, maar de AVG vraagt om verdergaande maatregelen. Dit stappenplan helpt u om uw organisatie AVG-bestendig te maken.
Inventariseer welke soorten persoonsgegevens u in uw organisatie gebruikt, hoe u dat doet (verwerken) en waarom u deze verwerkt. Inventariseer tevens welke derde-partijen in uw opdracht persoonsgegevens verwerken die aan u zijn toevertrouwd.
Met Persoonsgegevens wordt bedoeld: alle informatie over een geïdentificeerde of identificeerbaar natuurlijk persoon. Te denken valt dan aan onder meer naam, adres, telefoonnummers, identificatienummers en geboortedatum. Wat belangrijk is of het vastleggen van de gegeven in overeenstemming is met het doel waarvoor er wordt vastgelegd. Kortom minder mag, meer niet. Gevoelige persoonsgegevens vormen een bijzondere categorie. Te denken valt onder meer aan: BSN nummers, godsdienst, medische gegevens, ras, politieke voorkeur. Het verzamelen en verwerken ervan is verboden, tenzij hiervoor een wettelijke uitzondering is of de betrokkene hiervoor uitdrukkelijk toestemming heeft gegeven.
Verwerken betekent eigenlijk al het verzamelen, het ordenen vastleggen, het structuren, het archiveren en het opslaan van gegevens.
Let op: de AVG geldt voor zowel digitale als voor fysieke persoonsgegevens die verwerkt worden.
Stap 2 Functionaris gegevensbescherming
Ga na of er een functionaris gegevensbescherming nodig is. Dit is iemand die intern toezicht houdt en adviseert over de toepassing en naleving van de AVG binnen uw organisatie/bedrijf. De functionaris gegevensbescherming is ook het aanspreekpunt voor de betrokkene en het is in een aantal gevallen ook verplicht om een functionaris gegevensbescherming te hebben.
De verplichting bestaat bij: een overheidsinstantie, een overheidsorgaan, wanneer u hoofzakelijk belast bent met het verwerken van bijzondere categorieën persoonsgegevens of wanneer u hoofdzakelijk bent belast met de verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokken eisen.
Stap 3 Maak de betrokkenen duidelijk wat er met hun persoonsgegevens gebeurt
Het is van belang dat u de betrokkenen, van wie u de persoonsgegevens verwerkt, informeert hoe u de AVG uitvoert. U kunt dit doen door het opstellen (of het aanpassen) van een privacy-verklaring. Vermeld hierin de reden en de wettelijke grondslag voor het verwerken van de gegevens, welke gegevens (gewone en bijzondere) er worden verwerkt, waarom deze gegevens nodig zijn, hoe lang de gegevens bewaard worden (dit is afhankelijk van het doel en de wettelijke grondslag van de verwerking), of gegevens gedeeld worden met derden, hoe de gegevens kunnen worden ingezien, aangepast of worden verwijderd en waar de beveiliging uit bestaat.
Tips:
• Voor bijzondere persoonsgegevens is het uitgangspunt van de AVG dat deze, behoudens een aantal wettelijke uitzonderingen, alleen met toestemming van de betrokkene mogen worden verwerkt. Zorg daarom zoveel mogelijk voor schriftelijke toestemming voor de verwerking. Geef hierbij aan wat het betreffende doel is voor de verwerking en formuleer het doel niet te beperkt. Een ruime doelomschrijving is ook voor de verwerking van gewone persoonsgegevens van belang;
• Leg wijzigingen in de afspraken met betrokkenen over de verwerking schriftelijk vast;
• Zorg er tevens voor dat persoonsgegevens door de betrokkene ingezien of gewijzigd kunnen worden en bepaal hoe u persoonsgegevens tijdig van alle dragers kunt verwijderen.
Stap 4 Register van verwerkingsactiviteiten
Wanneer u persoonsgegevens verwerkt moet u een register van verwerkingsactiviteiten bijhouden. Hierop bestaat een uitzondering wanneer uw onderneming of organisatie minder dan 250 personen in dienst heeft, tenzij de verwerkingen die u voor de verwerkingsverantwoordelijke uitvoert waarschijnlijk een hoog risico voor betrokkenen met zich meebrengen of niet-incidenteel van aard zijn.
In het register vermeldt u welke soorten persoonsgegevens u verwerkt. Per gegevenssoort neemt u in het register onder meer op met welk doel u het verwerkt, op basis van welke wettelijke grondslag en welke bewaartermijnen u hanteert. Een mooi voorbeeld van een algemeen register van verwerkingsactiviteiten heeft de Belgische Autoriteit Persoonsgegevens opgesteld op https://www.privacycommission.be/nl/model-voor-een-register-van-de-verwerkingsactiviteiten.
Stap 5 Verwerkingsovereenkomst
Niet alleen uw bedrijf verwerkt gegevens van uw klanten of personeel maar ook bijvoorbeeld uw boekhouder of uw ict beheerder. Met de partijen waarmee u uw persoonsgegevens deelt moet een verwerkingsovereenkomst worden afgesloten.
Een Verwerkingsovereenkomst is een overeenkomst tussen een verwerkingsverantwoordelijke en een derde die namens en in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. De verwerkingsovereenkomst heeft als doel om zeker te stellen dat de verwerker zich aan dezelfde verplichtingen houdt als de verwerkingsverantwoordelijke en zorgt voor een goede beveiliging van de persoonsgegevens.
In de verwerkingsovereenkomst moet onder meer worden vastgelegd wie de verwerker is, wie de eindverantwoordelijke is voor de verwerking, het doel van de verwerking, welke persoonsgegevens worden verwerkt, de rechten en plichten van de verantwoordelijke, de geheimhouding maar ook hoe de verwerking plaatsvindt, de wijze van beveiliging en de wijze van melden van een datalek.
Een voorbeeld van een verwerkingsovereenkomst vindt u op de site van de Rijksoverheid (https://www.rijksoverheid.nl/documenten/publicaties/2018/01/25/model-verwerkersovereenkomst-avg) Let op dit betreft een algemene overeenkomst waaraan geen rechten en/of aansprakelijkheid uit kunnen worden ontleend.
Stap 6 Beveiliging
Stel de vraag over welke beveiligingsmaatregelen zouden nog getroffen moeten worden. Bekijk de risico’s, de uitvoeringskosten en onderzoek wat de huidige stand van de beveiligingstechniek is. Denk hierbij niet alleen aan digitale beveiliging, maar ook aan de fysieke beveiliging van de gegevens en de ruimte waarin deze worden bewaard.
Tips:
• Verwerk alleen de persoonsgegevens die noodzakelijk zijn voor de uitvoering van uw betreffende doel. Door efficiënt om te gaan met persoonsgegevens en niet meer te verwerken dan noodzakelijk vermindert u uw risico’s;
• Zorg voor goede wachtwoorden en wijzig deze regelmatig;
• Zorg dat er niet meer mensen in uw computer kunnen dan strikt noodzakelijk;
• Wanneer u uw werkplek verlaat, doe uw pc uit of zorg voor een slaapstand;
• Zorg voor dat uw fysieke stukken (dus ook een archief!) kan worden afgesloten;
• En tja… de media heeft er afgelopen jaren regelmatig overgeschreven, de menselijke fout. Voorkom risico’s en bepaal hoe u omgaat persoonsgegevens die buiten uw kantoor worden vervoerd en verwerkt (bijvoorbeeld bij medewerkers die thuiswerken of onderweg of in openbare gelegenheden persoonsgegevens verwerken. Let ook op het gebruik van onbeveiligde wifi netwerken);
• Ga ook na of uw printer een geheugen heeft en leeg het geheugen als u uw printer vervangt.
Stap 7 Archiveringsbeleid
De AVG schrijft voor dat persoonsgegevens aan het einde van de bewaartermijn van alle dragers (fysiek en digitaal) worden verwijderd. U kunt persoonsgegevens dus niet langer archiveren dan de bewaartermijnen toestaan. Pas waar nodig uw archiveringsbeleid aan, zodat persoonsgegevens tijdig, aan het einde van de bewaartermijn, daadwerkelijk worden vernietigd. Let daarbij ook op gegevensdragers die zich mogelijk buiten kantoor bevinden, zoals bijvoorbeeld mobiele apparaten.
Stap 8 Intern Privacy beleid/Data Protection Impact Assessment (DPIA)
Dit is nodig om aan de verantwoordingsplicht te kunnen voldoen. Daarnaast helpt het DPIA u ook om aan te tonen dat u uw zaken op orde heeft om aan de AVG te voldoen. In de DPIA brengt u onder meer de privacy in kaart en de te nemen maatregelen zodat eventuele risico’s worden verkleind. Een intern privacybeleid is niet voor iedereen verplicht. De verantwoordingsplicht mag door veel organisaties op een andere manier worden vervuld. Dit is afhankelijk van de verwerkingsactiviteiten. Wanneer er sprake is van grote hoeveelheden gegevens of bijzondere persoonsgegevens dan is een privacybeleid wel verplicht. Hiervan is in het kader van de AVG al snel sprake.
Stap 9 Informeer uw eigen organisatie/bedrijf over de genomen stappen
Het is een open deur maar het grootste risico op datalekken blijft de mens zelf. Daarom de volgende tips:
• Informeer uw medewerkers over de AVG;
• benoem het nieuwe privacybeleid;
• geef aan welke persoonsgegevens worden bewaard en waarom dit is;
• bespreek dat het nodig is om toestemming te krijgen voor het verwerken van bepaalde gegevens;
• stel instructies op ter voorkoming van datalekken;
• stel een protocol op voor het melden bij datalekken en bespreek dit met uw medewerkers;
• bespreek internetgedrag (o.a. sociale media) en risico’s op virussen, besmetting via besmette bestanden bij een e-mailbijlage of advertenties op internet of het niet updaten van software.
Stap 10 Klaar?
Echt klaar bent u na de laatste stap niet, het register moet worden bijgehouden, het privacybeleid, de privacyverklaring moeten worden aangepast, een protocol datalekken moet worden opgesteld, nieuwe verwerkingsovereenkomsten moeten worden afgesloten wanneer zaken veranderen in de verwerking of wanneer u met een nieuwe partij gaat samenwerken. Wel bent u goed op weg om uw organisatie/bedrijf AVG proof te maken
Handige algemene informatie:
Autoriteit Persoonsgegevens:
De Autoriteit Persoonsgegevens controleert in Nederland of bedrijven en/of organisaties voldoen aan de AVG. Voorlopig zal de Autoriteit Persoonsgevens dit voornamelijk doen naar aanleiding van een klacht (het zogenaamde “piepsysteem”). De Autoriteit Persoonsgegevens kan ook zonder melding onderzoek bij organisaties naar de toepassing van de AVG. De Autoriteit heeft de mogelijkheid boetes opleggen wanneer organisaties zich niet houden aan de wettelijke voorschriften, zeker als waarschuwingen niet tot verbetering hebben geleid.
De Rijksoverheid, met handige checklijsten:
www.rijksoverheid.nl/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming
Datalekken binnen 72 uur na ontdekking melden via:
http://datalekken.autoriteitpersoonsgegevens.nl
Voor meer persoonlijke informatie:
Dit stappenplan geeft u handvatten voor de invoering van de AVG in uw organisatie. Het stappenplan pretendeert niet volledig te zijn en is een algemene richtlijn, niet specifiek op uw organisatie toegesneden. Wij helpen u graag verder om uw organisatie verder op de AVG in te richten. Voor meer informatie, vragen en/of hulp bij de AVG in uw organisatie, neem dan contact op met mr Arjan Boer (mobiel: 06-49394903) of mr Femke van Venetien (mobiel: 06-52722660), of op het telefoonnummer van ons kantoor: 0343-491909.
Op verzoek kunnen algemene voorbeelden/protocollen voor de AVG worden toegezonden. Neemt u dan contact op via: venetien@adovcaatboer.nl of boer@advocaatboer.nl